客户是银行业的基石。当我们到当地银行分支机构来办理日常银行业务或者享受其他银行服务，我们首先必须向银行人员验证自己的身份，并且通常需要通过多种识别条件。我们有这样的意识，坦率地说，我们希望在进行任何业务操作之前，银行机构会对我们的身份进行核实。

　　那么，为什么作为网上银行客户，我们却无法容忍这种身份验证带来的麻烦？并且不愿进行足够的网上身份验证以阻止犯罪分子企图窃取我们的网上银行证书或者影响我们的网上银行操作。

　　随着犯罪分子逐渐将目光转向银行客户，他们使用先进的技术(网络钓鱼、恶意软件、键盘记录器和木马等等)来窃取网上银行证书，银行业也开始部署同样先进、更强大的多因素身份验证技术来应对这些犯罪分子。虽然这些解决方案提供了强大的安全保护，但同时也给客户的用户体验带来明显的复杂性，这从市场营销和客户关系的角度来看并不理想。因此，处理用户体验和安全之间的关系成为网上银行的关键成功因素。

　　随着网络威胁的不断演化，加上客户想要在世界任何地方通过他们喜欢的设备进行网上银行操作的愿望，银行超越身份验证的视角来提供一种安全的网上银行经验，并且必须与我们的客户合作以确保共同的网络安全。

　　“客户保护”在银行业的含义是指，银行必须确保他们的客户的在线安全，不仅当他们连接到网上银行网站，而且包括整个网络活动。我们看到过很多强大的身份验证被网络罪犯击败，所以我们必须采用多方面多层次的身份验证来确保客户不会成为证书盗窃者的猎物。换言之，加强客户身份验证似乎并不够，虽然这是整体防御战略的重要方面。

　　下面是解决客户保护问题的几个重点领域(排名不分先后)：

　　1. 安全基础问题

　　很显然，我们的客户在安全基础方面仍然存在苦难，例如保持他们的杀毒软件程序更新，确保他们部署了最新的安全补丁以及使用个人防火墙。尽管很多公司提供免费的杀毒软件程序，尽管行业作出了最大努力来提高用户的安全意识，然而面对大量旨在窃取网上银行证书或者注入恶意代码到浏览器会话的恶意程序，很多客户的个人电脑仍然沦为受害者。国际犯罪组织正在开发旨在击败最普遍的安全验证技术(全球银行普遍部署的技术)的软件。保护浏览器会话的技术已经出现，并且这必然会为客户保护提供重要的保护层。很多银行正在寻找这种类型的技术来直接将保护扩大到客户的计算机。当然，犯罪分子面对这一防御技术也有他们的应对方法。

　　2.教育

　　教育作为重点关注领域其实并不难，但是从有效性角度来看，比较难于量化的是客户意识活动。然而，所有银行必须有一个不断发展的动态意识宣传资料、技术和活动，以确保客户意识到存在于网上的危险，以及他们自身在确保其网上安全方面发挥着最重要的作用。请记住，欺诈损失结果是这里的最终测量标准。从银行人员的角度看，更重要的是，尽管银行通常不需要为网上欺诈带来的损失承担责任，但我们必须教育我们的客户，任何简单的财务欺诈都可能造成损失。破坏客户身份验证证书的犯罪分子可能会获取其他个人信息(支票收款人、雇主、投资情况等)，而这些信息可以被用来进行更具破坏性的离线身份验证盗窃有关的欺诈。

　　关键信息：即使对网络欺诈相关的损失不需要承担任何责任，事实上，客户对保持网络安全操作有着重要责任。一旦客户的终端设备被破坏，即使最好非常先进的技术也无法保护客户。

　　3.基于风险的身份验证

　　这种模式意味着基于风险因素的不同级别的身份验证，例如交易类型或者大小、客户档案等。请记住，对强大身份验证和额外安全具有最高需求的客户通常最无法忍受额外安全程序操作，特别是当他们知道如果受到攻击，他们的银行不会承担责任的时候。请参考上一条，我们必须不断地教育我们的客户。

　　4. 浏览器保护

　　这里是指保护或者“沙盒化”浏览器会话(当客户连接到特定网站时)的技术。这些技术禁用了最常被利用的浏览器助手对象，犯罪分子通常利用这个对象来注入恶意代码到用户的会话来进行浏览器中间人攻击，这种攻击可以击败很多形式的强大身份验证。改善浏览器安全的一种方法就是鼓励用户更新他们的浏览器。在世界的许多地方，用户仍然在使用很旧的浏览器，即使升级更新不需要收费。

　　5.欺诈监测和事件响应

　　这个领域在对抗网络欺诈的斗争中占据着十分重要的地位，然而却常常没有得到足够重视，当其他方面都失败时，这个领域可以力挽狂澜。这是一个复杂的昂贵的领域，但是不能被忽视，因为这是造成经济损失前的最后一道防线。

　　令人鼓舞的是，我们终于看到客户对更明显安全的需求的增加，这似乎最后成了潜在的竞争优势，毕竟我们不在需要到处宣扬安全的重要性，因为安全已经成为了根本需求。